Licence CC BY

Les six droits fondamentaux

Une directive européenne de 1995 consacrait déjà des droits aux personnes fichées, en raison à l’époque de la crainte d’une surveillance (rappelez-vous du projet SAFARI, notamment). Le droit d’information est alors le plus important d’entre eux. Plus de vingt ans plus tard, le RGPD vient renforcer les droits mis en place par cette directive, et en ajoute de nouveaux, suite à de nouvelles craintes de ne pas maitriser ses données (qui implique une législation plus contraignante).

Le droit d’information et le droit d’accès

Je mentionnais dans la première partie le lien très fort entre le droit à l’information et le principe de transparence : ces deux principes sont effectivement très proches, en cela que l’information à l’utilisateur est une forme de transparence envers lui ; nous avons d’ailleurs déjà traité ce principe de transparence dans la partie précédente, en mentionnant que certaines informations devaient être transmises à l’utilisateur au moment de la collecte des données.

Ces informations, transmises lors de la collecte des données, peuvent aussi être demandées par l’utilisateur plus tard1, après collecte, et doivent lui être transmises à jour – si le responsable du traitement a changé de coordonnées, par exemple, il faut lui donner les dernières informations, pas celles à jour au moment de la collecte. Une unique exception existe à ce droit d’information2 : si les données ont déjà été transmises à l’utilisateur, par exemple dans le cas d’un traitement antérieur, il n’est pas nécessaire de lui transmettre ces données à nouveau.

Ce droit d’information est complété, il permet ainsi de demander si vos données font ou ont fait l’objet d’un traitement auprès d’une entité – il est utile si vous souhaitez vérifier que des informations vous concernant ont bien été supprimées, par exemple, ou encore dans le cas où vos données pourraient avoir été traitées sans votre consentement (possible dans certains cas, je rappelle). Il vous suffit de contacter le responsable du traitement (ses coordonnées peuvent normalement être trouvées facilement, à défaut, vous pouvez demander à quelqu’un), et de lui demander si vos données sont traitées, en justifiant de votre identité1.

  1. RGPD, art. 15 

  2. RGPD, art. 13, alinéa 4 et art. 14, alinéa 5.a 

Le droit d’accès

En complément du droit d’information, l’utilisateur dispose d’un droit d’accéder aux données personnelles le concernant possédées par un organisme1 ; il étend le droit d’information en ceci qu’en plus de savoir si une structure traite ses données personnelles, l’utilisateur peut accéder à ces fameuses données, encore une fois sous réserve de justifier de son identité.

Toute personne, désireuse d’accéder aux données personnelles que vous détenez sur elle, peut effectuer une demande de communication. Elle peut mandater un tiers de son choix2 si elle le souhaite ; dans ce cas, cette tierce personne doit présenter un écrit contenant l’objet du mandat (exercice du droit d’accès) ainsi que les identités du requérant et du tiers. Le responsable de traitement, ou une personne mandatée par elle et soumise par ailleurs au secret, doit s’assurer de la communication dans un délai d’un mois ; ce délai peut être étendu d’un mois supplémentaire, lorsque la demande est particulièrement complexe ou qu’une grande quantité de données est demandée.

Quelques règles spécifiques s’appliquent : pour les mineurs et les majeurs sous tutelle, ce sont les détenteurs de l’autorité parentale ou le tuteur qui effectuent la démarche3. La fourniture orale des informations demandées est tolérée du moment que l’identité du requérant a été démontrée par ailleurs, comme pour la communication dématérialisée ou papier ; aucun frais ne peut être exigé lors de la communication des informations, et la voie de communication d’icelles est libre, si l’envoi est effectué par courrier, les frais postaux incombent donc à la structure.

Il existe certaines exceptions au droit d’accès, en cas de demandes « objectivement abusives », par leurs nombre, leurs répétitions ou leur caractère systématique ; si les données ne sont pas stockées pour des raisons techniques ou si le délai légal de conservation est expiré. Dans les cas de prolongation du délai d’un mois, de demande de frais ou de refus de la demande, la charge de démontrer ces éléments incombe à l’entreprise responsable (au responsable du traitement, en l’occurrence).

  1. RGPD, art. 15 

  2. Voir ce qu’en dit un DPD 

  3. RGPD, art. 8 

Le droit de rectification et le droit à l’effacement

Deux droits se retrouvent combinés ici : le droit de rectification est un droit assez mineur du RGPD, et tient en une seule phrase, que je reproduis ici.

La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant qui sont inexactes. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire.

Source : Article 16 du RGPD

Je pense que tout est très clair : un utilisateur dispose du droit de rectifier une information ou d’en ajouter une sans rien justifier, mis à part son identité.

Le droit à l’effacement est bien plus complexe en cela qu’il est limitatif, contrairement à celui de la loi de 1978 ; alors qu’icelle prévoyait des exceptions au principe général, c’est maintenant à l’utilisateur d’expliquer pourquoi il souhaite cet effacement, en mentionnant un des motifs du Règlement, qui sont les suivants1 :

  • les données collectées ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées (le fameux « droit à l’oubli », sur lequel nous reviendrons en détails dans la partie suivante) ;
  • l’utilisateur retire son consentement : ce cas n’est applicable que si le consentement était la seule base légale au traitement, il n’est donc pas applicable dans les cas d’exception au consentement que nous avons vus dans la partie précédente, que ces cas d’exception s’appliquent a priori – un consentement n’est alors pas demandé, ou a posteriori – un consentement a été demandé mais n’est plus nécessaire ;
  • la personne s’oppose au traitement – hors des cas de consentement – et le responsable du traitement n’oppose pas de motif légitime et impérieux justifiant que le traitement « prévaut » sur les libertés individuelles de la personne concernée2 ;
  • les données ont fait ou font l’objet d’un traitement illicite, ou doivent être effacées en vertu d’une disposition légale ou d’une exigence judiciaire ;
  • les données d’un mineur de moins de 16 ans ont été recueillies sans autorisation parentale3.

  1. RGPD, art. 17, alinéa 1 

  2. RGPD, art. 21 

  3. RGPD, art. 8, alinéa 1 

Le droit à la limitation du traitement

Attaquons enfin un droit nouveau, qui n’existait pas dans l’ancienne loi française ; ce nouveau droit est créé pour tendre un peu plus vers la pratique de l’utilisation des données, face à la théorie du droit à l’effacement : une fois les données effacées, elles sont réputées effacées partout au niveau de la structure à laquelle l’utilisateur a effectué sa demande, ainsi que par tous les organismes ayant obtenu ces données par l’intermédiaire de cette dite structure, à condition que le motif invoqué par l’utilisateur s’y applique.

Dans la pratique, on constate que la donnée est difficilement effaçable instantanément, et il y a des cas où il semble préférable qu’elle s’estompe plutôt que de se volatiliser. C’est l’objet du droit à la limitation du traitement, qui vous permet de laisser une structure traiter vos données, tout en lui indiquant d’en restreindre leur utilisation au strict minimum, ce dans l’objectif que la donnée tende vers un effacement total1.

Ce droit peut être invoqué dans certains cas bien précis, le premier consistant en la présence d’un traitement illégal ; dans ce cas, plutôt que d’en demander effacement, l’utilisateur va demander à exercer son droit à la limitation du traitement, qui est implicitement traité comme un consentement à la conservation de la donnée, doublé d’une injonction de restriction de son usage, qui est soumis au consentement de l’utilisateur2.

Ce droit peut aussi être exercé lorsque l’exactitude des données est contestée, dans ce cas, le responsable du traitement peut conserver les données mais évite leur traitement, jusqu’à ce qu’il en ait vérifié l’exactitude ou non. Enfin, si la personne concernée par le traitement nécessite ces données pour l’exercice de ses droits en justice, il est possible de demander au responsable du traitement de les conserver sans les traiter.

  1. RGPD, considérant 129 et 156 

  2. RGPD, art. 18, qui énumère les cas 

Le droit à la portabilité

Pour terminer sur cette partie, voici un droit qui devrait plaire à bon nombre d’utilisateurs, et plutôt déplaire aux structures dont le business repose sur la donnée ; ce droit permet à chacun d’obtenir toutes les données qu’il a communiquées à un service, dans un format ouvert et interopérable, dans l’objectif de fournir ce fichier à un autre service qui gérera ses données.

Ce droit est déjà très clair, car le RGPD le définit particulièrement clairement, et car le G29 s’est déjà penché sur son cas1 ; notons d’abord que ce droit ne s’applique qu’aux informations que l’utilisateur communique à un service, et pas aux informations qui seraient internes au service, ou auraient été recueillies ailleurs ou par un autre moyen. L’utilisateur peut demander à récupérer ses données directement, mais il peut aussi « lorsque cela est techniquement possible », demander à ce que ses données soient directement transmises d’un responsable de traitement à un autre.

Du point de vue des responsables du traitement, le G29 recommande de mettre en place une option directe pour télécharger une archive de ses données au sein de leur service, afin de leur éviter d’être inondés de demandes postales. La sécurité des données, et surtout leur confidentialité, doit aussi être assurée ; nous en reparlerons, mais si un doute suffisant persiste quant à l’identité du demandeur, le responsable peut refuse l’accès aux données.

Le droit à la portabilité diffère du droit d’accès en cela qu’il permet la communication directe d’information entre deux services, qu’il est plus limitatif que le droit d’accès, et que les données obtenues dans le cadre du droit à la portabilité sont bien plus difficiles à comprendre techniquement, alors que le droit d’accès doit fournir les données sous forme simple et compréhensible.

Du côté de l’utilisateur, cela veut dire concrètement qu’il pourra faire transférer, lui-même ou par un intermédiaire, les données qu’il a entrées sur une plateforme ; l’exemple couramment utilisé est celui des plateformes de streaming musical (par exemple Deezer), auxquelles vous pourrez demander l’intégralité des artistes que vous avez appréciés, dans un format clair et compréhensible par une autre plateforme musicale (par exemple Spotify), ce afin d’obtenir le « transfert » de ces données vers l’autre plateforme. Lorsque nous parlions ci-dessus d’un transfert direct, il pourrait être possible dans ce cas que Deezer transmette directement les données à Spotify, sans passer par utilisateur, mais sous réserve de son consentement préalable.

  1. G29, avis WP 242, 13 décembre 2016 

Dans la partie suivante, nous nous pencherons en détails sur le droit à l’oubli : icelui est détaché de ces six droits fondamentaux mais il y est en même temps très lié, car c’est lui qui limite le traitement dans le temps, il constitue donc par conséquent un cas d’application du droit à l’effacement – notons que même si je les détache ici, ces droits sont directement liés dans le texte du Règlement (voir article 17, nommé « Droit à l’effacement (« droit à l’oubli ») »).